Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Información general de la administración de permisos de acceso a los recursos de Cloud Directory
Cada recurso de AWS pertenece a una cuenta de AWS, y los permisos para crear u obtener acceso a los recursos se rigen por las políticas de permisos. Un administrador de cuenta puede asociar políticas de permisos a identidades de IAM (es decir, usuarios, grupos y roles); también hay otros servicios (como AWS Lambda) que permiten asociar políticas de permisos a recursos.
nota
Un administrador de la cuenta (o usuario administrador) es un usuario con privilegios de administrador. Para obtener más información, consulte Prácticas recomendadas de IAM en la Guía del usuario de IAM.
Cuando concede permisos, decide quién debe obtener los permisos, para qué recursos se obtienen permisos y qué acciones específicas desea permitir en esos recursos.
Temas
Recursos y operaciones de Cloud Directory
En Cloud Directory, los recursos principales son directorios y esquemas. Estos recursos tienen nombres de recursos de Amazon (ARN) únicos asociados a ellos, tal y como se muestra en la siguiente tabla.
| Tipo de recurso | Formato de ARN |
|---|---|
Directorio |
|
| Esquema | arn:aws:clouddirectory: |
Para obtener más información sobre los estados de esquema y ARN, consulteEjemplos de ARN deen laInformación sobre la API de Amazon Cloud Directory.
Cloud Directory proporciona un conjunto de operaciones para trabajar con los recursos apropiados. Para obtener una lista de operaciones disponibles, consulte Amazon Cloud Directory Actions (Acciones de Amazon Cloud Directory) o Directory Service Actions (Acciones de Directory Service).
Titularidad de los recursos
El propietario del recurso es la cuenta de AWS que ha creado un recurso. Es decir, el propietario de los recursos es la cuenta de AWS de la entidad principal (cuenta raíz, usuario de IAM o rol de IAM) que autentica la solicitud que crea el recurso. Los siguientes ejemplos ilustran cómo funciona:
-
Si utiliza las credenciales de cuenta raíz de su cuenta de AWS para crear un recurso de Cloud Directory, como un directorio, su cuenta de AWS será la propietaria de dicho recurso.
-
Si crea un usuario de IAM en su cuenta de AWS y le concede permisos para crear recursos de Cloud Directory, el usuario también podrá crear recursos de Cloud Directory. Sin embargo, su cuenta de AWS, a la que pertenece el usuario, será la propietaria de los recursos de .
-
Si crea un rol de IAM en su cuenta de AWS con permisos para crear recursos de Cloud Directory, cualquier persona que pueda asumir el rol podrá crear recursos de Cloud Directory. Su cuenta de AWS, a la que pertenece el rol, será la propietaria de los recursos de Cloud Directory.
Administración del acceso a los recursos
Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.
nota
En esta sección se explica cómo se usa IAM en el contexto de Cloud Directory. No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulte¿Qué es IAM?en laGuía del usuario de IAM. Para obtener más información acerca de la sintaxis y descripciones de las políticas de IAM, consulteReferencia de políticas de AWS IAMen laGuía del usuario de IAM.
Las políticas que se asocian a una identidad de IAM se denominanBasado en identidadesLas políticas de IAM y las políticas que se adjuntan a un recurso se denominanbasado en recursosPolíticas de Cloud Directory solo admite políticas basadas en identidad (políticas de IAM).
Políticas basadas en identidad (políticas de IAM)
Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:
-
Asociar una política de permisos a un usuario o grupo de su cuenta: un administrador de la cuenta puede utilizar una política de permisos asociada a un usuario determinado para concederle permisos para crear un recurso de Cloud Directory, como un directorio nuevo.
-
Asociar una política de permisos a un rol (conceder permisos entre cuentas): puede asociar una política de permisos basada en identidad a un rol de IAM para conceder permisos entre cuentas. Por ejemplo, el administrador de la Cuenta A puede crear un rol para conceder permisos entre cuentas a otra cuenta de AWS (por ejemplo, a la Cuenta B) o a un servicio de AWS como se indica a continuación:
-
El administrador de la Cuenta A crea un rol de IAM y asocia una política de permisos a dicho rol, que concede permisos sobre los recursos de la Cuenta A.
-
El administrador de la Cuenta A asocia una política de confianza al rol que identifica la Cuenta B como la entidad principal que puede asumir el rol.
-
A continuación, el administrador de la Cuenta B puede delegar permisos para asumir el rol a cualquier usuario de la Cuenta B. De este modo, los usuarios de la Cuenta B podrán crear recursos y obtener acceso a ellos en la Cuenta A. La entidad principal de la política de confianza también puede ser la entidad principal de un servicio de AWS si desea conceder permisos para asumir el rol a un servicio de AWS.
Para obtener más información acerca del uso de IAM para delegar permisos, consulteAdministración de accesosen laGuía del usuario de IAM.
-
La siguiente política de permisos concede permisos a un usuario para ejecutar todas las acciones que empiezan por Create. Estas acciones muestran información acerca de un recurso de Cloud Directory, como un directorio o un esquema. Tenga en cuenta que el carácter comodín (*) en laResourceEl elemento indica que las acciones están permitidas para todos los recursos de Cloud Directory de que pertenecen a la cuenta.
{ "Version":"2017-01-11", "Statement":[ { "Effect":"Allow", "Action":"clouddirectory:Create*", "Resource":"*" } ] }
Para obtener más información acerca del uso de políticas basadas en identidad con Cloud Directory, consulteUso de políticas basadas en identidad (políticas de IAM) para Cloud Directory. Para obtener más información sobre usuarios, grupos, roles y permisos, consulte Identidades (usuarios, grupos y roles) en la Guía del usuario de IAM.
Políticas basadas en recursos
Otros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Por ejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dicho bucket. Cloud Directory no admite políticas basadas en recursos.
Especificación de elementos de política: Acciones, efectos, recursos y entidades principales
Para cada recurso de Cloud Directory (consulteRecursos y operaciones de Cloud Directory), el servicio define un conjunto de operaciones de API. Para ver una lista de operaciones de API disponibles, consulteAcciones de Amazon Cloud DirectoryorAcciones Directory Service. Para conceder permisos a estas operaciones de API, Cloud Directory define un conjunto de acciones que usted puede especificar en una política. Tenga en cuenta que la realización de una operación de la API puede requerir permisos para más de una acción.
A continuación, se indican los elementos básicos de la política:
-
Recurso: en una política, se usa un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. Para los recursos de Cloud Directory, utilice siempre el carácter comodín (*) en las políticas de IAM. Para obtener más información, consulte Recursos y operaciones de Cloud Directory.
-
Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar. Por ejemplo, el
clouddirectory:GetDirectorypermiso permite a los usuarios permiso para realizar el Cloud DirectoryGetDirectory. -
Efecto: especifique el efecto que se producirá cuando el usuario solicite la acción específica; puede ser permitir o denegar. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.
-
Entidad principal: en las políticas basadas en identidades (políticas de IAM), el usuario al que se asocia esta política es la entidad principal implícita. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos). Cloud Directory no admite políticas basadas en recursos.
Para obtener más información acerca de la sintaxis y descripciones de las políticas de IAM, consulteReferencia de políticas de AWS IAMen laGuía del usuario de IAM.
Para ver una tabla con todas las acciones de API de Amazon Cloud Directory y los recursos a los que se aplican, consultePermisos de la API de Amazon Cloud Directory: Referencia de acciones, recursos y condiciones.
Especificación de las condiciones de una política
Al conceder permisos, puede utilizar el lenguaje de la política de acceso para especificar las condiciones en las que se debe aplicar una política. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información sobre cómo especificar condiciones en un lenguaje de política, consulte Condition en la Guía del usuario de IAM.
Para expresar condiciones, se usan claves de condición predefinidas. No hay claves de condición específicas para Cloud Directory. No obstante, existen claves de condición que se aplican a todo AWS que puede utilizar cuando corresponda. Para ver una lista completa de claves generales de AWS, consulteClaves de condición globales disponiblesen laGuía del usuario de IAM.
